"Vault 7"-FAQ

WikiLeaks und die CIA-Enthüllungen

16.03.2017 von Grant Gross, Tim Greene und Florian Maier
Die WikiLeaks-Enthüllungen über die Spionage- und Hacking-Tools der CIA ziehen weite Kreise. Wir sagen Ihnen, was Sie - und Ihr Unternehmen - wissen müssen.

WikiLeaks hat mehr als 8700 Dokumente veröffentlicht, die aus dem Cyber-Intelligence-Zentrum des US-Geheimdienstes CIA stammen sollen.

WikiLeaks vs. CIA: Wir sagen Ihnen, was Sie zum Thema wissen müssen.
Foto: MyImages-Micha - shutterstock.com

Das hat Wikileaks veröffentlicht

Darunter befinden sich offensichtlich mehr als 24 einsatzbereite und bisher nicht bekannte Cyber-Waffen - unter anderem für den Angriff auf Android-Systeme. Einige davon wurden - wie den Dokumenten zu entnehmen ist - von der CIA selbst entwickelt. Andere wurden von der NSA, dem britischen Geheimdienst GCHQ und Cyberwaffen- Dealern "zugeliefert".

Einige der Hacking-Tools, die gezielt Smartphones ins Visier nehmen und von der CIA entwickelt wurden, befähigen den Geheimdienst die Verschlüsselung von WhatsApp, Confide und anderen Apps zu umgehen. Das funktioniert laut WikiLeaks, indem Gesprächsdaten jeglicher Art abgefangen werden, bevor die Verschlüsselung stattfindet. Die Dokumente zeichnen ein Bild, das Verschwörungstheoretiker schon länger kolportieren: Offenbar hat die CIA Zero-Day-Exploits für verschiedene IT-Systeme "gehortet" - trotz Beteuerungen der Obama-Administration, Informationen über Schwachstellen mit den Herstellern teilen zu wollen.

Die Dokumente erstrecken sich über den Zeitraum 2013 bis 2016 und stellen laut WikiLeaks "die bislang größte Veröffentlichung von vertraulichen CIA-Dokumenten" dar. Darüber hinaus zeige die Veröffentlichung nun "das gesamte Leistungsvermögen der CIA in Sachen Hacking" auf. Dabei beziehen sich die geleakten Dokumente keineswegs nur auf Android-Gerätschaften: Der Einsatz von Hacking-Tools und Malware gegen iPhones und Smart TVs wird genauso beschrieben, wie Bemühungen der CIA, Windows OS X, Linux und diverse Router zu kompromittieren.

Eine dieser Attacken - Codename "Weeping Angel" - war auf Samsung TVs ausgerichtet und wurde laut den Analysen von WikiLeaks von CIA und MI5 entwickelt. Bei dieser Geheimdienst-Operation wurden die Fernseher in einen "Fake-Off"-Modus versetzt, um das Gerät anschließend unbemerkt zu Abhörzwecken verwenden zu können. Aufgezeichnete Gespräche konnten demnach über das Netz direkt auf die CIA-Server "gestreamt" werden. Das war noch nicht alles: Ende 2014 soll die CIA nach Wegen gesucht haben, die Software-Systeme von Fahrzeugen zu infiltrieren.

Von Seiten der CIA wollte man sich zur Authentizität der Dokumente zunächst nicht äußern. Dean Boyd, Director of Public Affairs beim CIA, sagte lediglich: "Julian Assange stellt nicht gerade eine Bastion der Wahrheit und Integrität dar." Darüber hinaus ließ der Geheimdienst verlauten, dass seine Überwachungsaktivitäten ausschließlich auf ausländische Geheimdienste abzielen.

Im Nachgang verurteilte die CIA die Veröffentlichung der Dokumente durch WikiLeaks mit Nachdruck: "Die amerikanische Öffentlichkeit sollte besorgt sein über Enthüllungen, die für die Fähigkeit der Geheimdienste, Amerika vor Terroristen und anderen Feinden zu schützen, schädlich sein können", schrieb CIA-Sprecherin Heather Fritz Horniak in einer E-Mail. "Solche Enthüllungen setzen nicht nur das Leben von US-Staatsdienern und Geheimoperationen aufs Spiel, sondern statten unsere Feinde mit Werkzeugen und Informationen aus, um uns zu schaden".

Das sagt Julian Assange

WikiLeaks-Mastermind Julian Assange äußerte sich im Rahmen einer Pressekonferenz zu den Enthüllungen. In Geheimdienst-Kreisen wurden offensichtlich schon vor der öffentlichen Enthüllung durch WikiLeaks Informationen über angebliche CIA-Cyberangriffe "herumgereicht", wie Assange sagte. "Die CIA hat die Kontrolle über ihr komplettes Arsenal von Cyberwaffen verloren. Es ist ein historischer Akt von vernichtender Inkompetenz, ein solches Arsenal angelegt und es an einem einzigen Ort ungesichert abgespeichert zu haben", so Assange.

Über die Quelle, aus der WikiLeaks die Dokumente erhalten hat, wollte sich der Chefredakteur der Enthüllungsplattform freilich nicht äußern. Er ließ aber anklingen, dass die mehr 8700 Dokumente - die angeblich von einem abgeschirmten CIA-Server stammen - über einen Insider zu WikiLeaks gelangten. Aufmerksam wurde die Enthüllungsplattform auf die Dokumente, nachdem diese von mehreren Personen aus dem Umfeld der US-Geheimdienste "auf ungewöhnliche Weise" verbreitet wurden.

WikiLeaks, bekräftigte Assange, werde mit den betroffenen Tech-Unternehmen zusammenarbeiten, um die in den geleakten Dokumenten beschriebenen Sicherheitslücken zu schließen. Die Hersteller sind unterdessen bereits tätig geworden: Apple beispielsweise ließ verlauten, man habe bereits die meisten iOS-Schwachstellen beseitigt.

Die WikiLeaks-Pressekonferenz mit Julian Assange wurde über Periscope live auf Twitter übertragen.

Das sollten Unternehmen tun

Unternehmen die wegen der geleakten Dokumente besorgt sind, sollten zu allererst eine Risiko-Einschätzung durchführen, die die neuen Entwicklungen mit einbezieht. Zwar enthalten die geleakten CIA-Dokumente - auch bekannt unter dem Namen "Vault 7" - keinen Schadcode, allerdings werden die verschiedenen Schwachstellen und wie man diese ausnutzt detailliert beschrieben. Sowohl für Security-Fachleute, als auch für potenzielle Angreifer könnten diese Informationen nützlich sein.

Die WikiLeaks-Enthüllungen zu den Aktivitäten der CIA zeige deren Möglichkeiten und Ziele, verschaffe aber auch eine breitere Perspektive, wie Michael Shaulov von Check Point Software betont: "Ersetzen Sie CIA einfach durch eine beliebige Institution und Sie haben eine Blaupause davon, wie geschulte Akteure vorgehen". Der nächste Schritt für die IT-Sicherheits-Experten in Unternehmen bestehe nun darin, ihre aktuellen Schutzmaßnahmen dahingehend zu überprüfen, ob diese den in den Dokumenten beschriebenen Bedrohungen standhalten würden: "Sie müssen wissen, wo die Lücken klaffen", so der Experte. Da der Schadcode bislang nicht veröffentlicht wurde, die Schwachstellen aber weiterhin bestehen könnten, sollten Unternehmen nach Meinung von Shaulov auf Tools zur Erkennung von Zero-Day-Angriffen setzen.

Der CISO-Check: Taugen Sie zum IT-Security-Manager?
Glauben Sie ...
... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen?
Schauen Sie ...
... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern?
Überwachen Sie ...
... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln?
Suchen Sie ...
... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können?
Widmen Sie ...
... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit?
Versuchen Sie ...
... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können?
Behalten Sie ...
... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann?
Arbeiten Sie ...
... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen?
Bewegen Sie ...
... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird?
Verlieren Sie ...
... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?

Wenn die spezifischen Exploits - gemäß der Versprechungen von WikiLeaks - in verantwortungsvoller Weise und in Kooperation mit den Herstellern veröffentlicht werden, sollten die Sicherheits-Experten in Unternehmen sicherstellen, dass gepatcht wird. Angesichts des laxen Patch-Verhaltens in vielen Unternehmen könnten die Exploits aber noch über einen langen Zeitraum zur Anwendung kommen.

John Pironti vom Security-Beratungsunternehmen IP Architects gibt unterdessen zu bedenken, dass die Schwachstellen, die in den "Vault 7"-Dokumenten beschrieben werden, von findigen (kriminellen) Hackern "nachgebaut", beziehungsweise zur Schaffung neuer Bedrohungsarten verwendet werden könnten: "Diese Details sind wie Brotkrumen, die zu vielversprechenden Schlupflöchern führen. Die Zeit, die Cyberkriminelle sonst für die Recherche brauchen, hat sich gerade massiv verkürzt".

Abschnittsweise beschäftigen sich die von WikiLeaks veröffentlichten CIA-Dokumente auch damit, es den Opfern von Cyberangriffen schwerer zu machen, Gegenmaßnahmen einzuleiten, forensische Maßnahmen durchzuführen und Angriffe zu attribuieren. Diese Informationen könnten insbesondere für weniger erfahrene, kriminelle Hacker nützlich sein, wie Pironti weiß: "Diese Informationen können Anfängern dabei helfen, sich ‚weiterzubilden‘, während erfahrene Cyberkriminelle hierdurch die Effektivität ihrer Angriffe weiter steigern könnten."

Dieser Artikel basiert in Teilen auf einem Beitrag unserer US-Schwesterpublikation networkworld.com. Mit Material von IDG News Service.

Die größten Hacks 2016
US-Demokraten
Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst.
Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.
Panama Papers
Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen".
Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.
NSA
Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland.
Bitfinex
Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch.
Healthcare-Ransomware
Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.